أضافت شركة مايكروسوفت ميزة اكتشاف الهجمات التي تحدث بسبب عيب Zerologon إلى برنامج ويندوز ديفندر فور ايدنتيتي الشهير، بما يسمح لفرق عمليات الأمان بتحديد الهجمات المحلية التي تحاول إساءة استخدام هذه الثغرة الأمنية الخطيرة.
Zerologon هو عيب فادح يمكن للمهاجمين استغلاله لرفع الامتيازات وانتحال صفة الوصول إلى حساب وحدة التحكم في المجال، والتي تمكنهم من السيطرة الكاملة على المجال من خلال سرقة بيانات الاعتماد وتغيير كلمة مرور أي مستخدم، وكذلك تنفيذ أوامر عشوائية.
لا تزال شركة مايكروسوفت في طور إصلاح عيب Zerologon ضمن عملية من مرحلتين، حيث يمكن أن يتسبب الإصلاح السريع في تأثر بعض الأجهزة بمشكلات المصادقة المختلفة.
Microsoft Defender for Identity والمعروف سابقاً باسم Azure Advanced Threat Protection أو Azure ATP، هو حل أمان قائم على السحابة مصمم للاستفادة من إشارات Active Directory الداخلية لاكتشاف وتحليل البيانات المخترقة والتهديدات المتقدمة والنشاطات الضارة الذي تستهدف المؤسسات المسجلة.
واكد مدير برنامج Microsoft دانييل نعيم أنه يمكن لبرنامج ويندوز ديفندر فور ايدنتيتي اكتشاف الثغرة الأمنية في وقت مبكر، وذلك عبر تغطية كل جوانب الاستغلال والتفتيش ضمن حركة المرور لقناة Netlogon.
بمعنى آخر، التنبيهات التي يتم عرضها عند اكتشاف استغلال Zerologon أو أي نشاط ذي صلة ستسمح لفرق SecOps بالحصول بسرعة على معلومات الأجهزة أو وحدة التحكم التي تقف وراء محاولات الهجوم. كما ستوفر التنبيهات أيضاً معلومات قد تساعد في تحديد الملفات المستهدفة وما إذا كانت الهجمات قد نجحت فعلاً في تحقيق مآربها الخبيثة.
وبالتالي، يمكن لكل العملاء الذين يستخدمون Microsoft 365 Defender الاستفادة الكاملة من خدمات Microsoft Defender for Identity، جنباً إلى جنب مع ميزة الاكتشافات السلوكية التي يقدمها Microsoft Defender for Endpoint، بهدف الحصول على أكبر قدر من الأمان السيبراني.
هذه الحماية المنسقة تتيح للمستخدمين مراقبة محاولات استغلال Netlogon عبر بروتوكولات الشبكة، بالإضافة إلى إمكان التعرف على الجهاز ونشاط الملف المرتبط بالاستغلال.
نظراً لأن الاستشارات الأولية بشأن تصحيح عيب Zerologon كانت مربكة، أوضحت Microsoft الخطوات التي يتعين على المسؤولين اتخاذها لحماية الأجهزة من الهجمات. تتطلب خطة التصحيح اتباع الخطوات التالية:
– تحديث وحدات تحكم المجال الخاصة بناء على الإصدار الذي تم طرحه في 11 أغسطس 2020، أو أي إصدارات لاحقة.
– البحث عن الأجهزة التي تجري اتصالات ضعيفة من خلال مراقبة سجلات الأحداث.
– تحسين أو تغيير الأجهزة غير المتوافقة التي تُجري اتصالات ضعيفة.
– تمكين قدرة معالجة CVE-2020-1472 في بيئة المستخدم.